前言

2021年7月2日，Sodinokibi(REvil)勒索病毒黑客组织疑似利用0day漏洞，通过Kaseya VSA发起大规模供应链攻击行动，此次事件影响范围广泛，目前瑞典最大链锁超市之一的Coop受此供应链勒索攻击事件影响被迫关闭全国约800多家商店服务。

笔者此前发布了相关的安全事件报告，报告如下：
Sodinokibi(REvil)黑客组织发起大规模供应链攻击

国内微步在线也对此次事件进行了相关分析报道，对Sodinokibi勒索病毒以及这次攻击不太了解的朋友，可以先参考之前的报告，事实上此次的供应链攻击影响还是蛮大的，攻击手法和攻击技术也是非常完整的，Kaseya VSA没有透露过多的攻击细节和漏洞细节，美国网络安全和基础设施安全局对此次供应链攻击事件已经界入调查。

分析溯源

此次Sodinokibi(REvil)勒索病毒黑客组织利用相关漏洞发起供应链攻击，这不是一次简单的攻击行动，笔者没有机会也没有办法去参与到这次的勒索攻击溯源行动，只能根据国外某安全厂商的溯源报告以及其他一些渠道获取到相关的溯源信息，对此次供应链攻击行动进行部分的分析还原，并不完整，更多的攻击细节笔者因为没有拿到相关的文件、日志数据，也没办法进行更深入的分析溯源。

分析系统日志的时候，发现了一个AWS IP地址：18[.]223.199.234发送POST请求，如下所示：

通过分析发现这个userFilterTableRpt.asp中包含大量潜在的SQL注入漏洞，这些漏洞为后面代码执行和破坏VSA服务器提供了基础条件。

同时我们在请求日志中还发现dl.asp和KUpload.dll这两个文件，通过分析发现dl.asp存在身份验证逻辑缺陷，这种存在缺陷的身份验证可以绕过服务器的检测，授予用户有效会话,KUpload.dll提供上传功能，并将日志记录到文件KUpload.log文件。

根据分析，我们发现KUpload.log文件内容中包含已经上传了agent.crt和Screenshot.jpg文件到VSA服务器，agent.crt通过VSA的解密机制，解密出勒索病毒并加载，但是Screenshot.jpg文件是什么还未知，安全研究人员也在向外界寻求这个文件，相关日志记录，如下所示：

从上面的分析，我们可以确认，此次的攻击入口点应该为Kaseya VSA的WEB应用，黑客组织通过使用身份验证漏洞绕过获得经过身份验证的会话，上传原始有效负载，然后通过SQL注入漏洞执行命令。